Walka z cyberprzestępczością – nowe obowiązki firm w Dyrektywie NIS2
Dyrektywa NIS2 z 2022 roku ma przeciwdziałać cyberprzestępczości. Sprawdź, jakie obowiązki wynikają z niej dla małych i średnich przedsiębiorców.
Od kiedy firmy będą miały nowe obowiązki
Datę wejścia w życie nowych obowiązków określi ustawa, która dostosuje polskie przepisy do Dyrektywy NIS2. Obecnie rząd pracuje nad tą ustawą.
Których sektorów dotyczy NIS2
Dyrektywa NIS2 dotyczy firm, które działają w sektorach o wysokim stopniu krytyczności. Są to:
- energia
- energia elektryczna, w tym systemy produkcji, dystrybucji i przesyłu oraz punkty ładowania
- ciepłownictwo i chłodnictwo
- ropa naftowa, w tym rurociągi produkcyjne, magazynowe i przesyłowe
- gaz, w tym systemy dostaw, dystrybucji i przesyłu oraz magazynowanie
- wodór
- transport lotniczy, kolejowy, wodny i drogowy
- infrastruktura bankowa i rynku finansowego, jak instytucje kredytowe, operatorzy systemów obrotu i partnerzy centralni
- zdrowie, w tym podmioty świadczące opiekę zdrowotną, producenci podstawowych produktów farmaceutycznych i wyrobów medycznych o krytycznym znaczeniu oraz laboratoria referencyjne UE
- woda pitna
- ścieki
- infrastruktura cyfrowa, w tym dostawcy usług centrów danych, usług przetwarzania w chmurze, publicznych sieci łączności elektronicznej i publicznie dostępnych usług łączności elektronicznej
- usługi zarządzane przez TIK (między przedsiębiorstwami)
- przestrzeń.
NIS2 dotyczy również innych sektorów krytycznych, takich jak:
- usługi pocztowe i kurierskie
- gospodarka odpadami
- produkcja, wytwarzanie i dystrybucja chemikaliów
- produkcja, przetwarzanie i dystrybucja żywności
- produkcja, w szczególności wyrobów medycznych, komputerowych, elektronicznych i optycznych, niektórych rodzajów sprzętu elektrycznego i maszyn, pojazdów silnikowych i innego sprzętu transportowego
- dostawcy usług cyfrowych w zakresie internetowych platform handlowych, wyszukiwarek i sieci społecznościowych.
Które firmy są objęte NIS2
NIS2 dzieli przedsiębiorców, którzy działają w sektorach krytycznych i których dotyczą obowiązki z zakresu cyberbezpieczeństwa, na:
- podmioty kluczowe
- podmioty ważne.
Te grupy różnią się poziomem nadzoru, tym w jaki sposób są egzekwowane wymagania z zakresu cyberbezpieczeństwa, oraz wysokością kar.
Na przykład podmiot kluczowy za naruszenie wymagań dyrektywy NIS2 może ponieść karę pieniężną w maksymalnej wysokości 10 mln euro. Maksymalna kara, którą można nałożyć na podmiot ważny, wynosi 7 mln euro.
Podmioty kluczowe to przede wszystkim firmy duże. W określonych przypadkach podmiotem kluczowym może być też firma mała lub średnia.
Podmioty ważne to najczęściej mikro, mali lub średni przedsiębiorcy.
Ważne! Zgodnie z Dyrektywą NIS2 podmiotem kluczowym, niezależnie od wielkości, jest:
przedsiębiorca, który świadczy określone kategorie usług cyfrowych z sektora infrastruktury cyfrowej:
- dostawca usług TLD (top level domain)
- dostawca usług DNS (domain name server)
- dostawca kwalifikowanych usług zaufania
- dostawca publicznych sieci łączności elektronicznej
- dostawca publicznie dostępnych usług łączności elektronicznej
- mała lub średnia firma, zakwalifikowana przez właściwe organy krajowe jako podmiot krytyczny, w rozumieniu dyrektywy w sprawie odporności podmiotów krytycznych. Zasady kwalifikacji zostaną ustalone w ustawie wdrażającej NIS2.
Kiedy NIS2 obowiązuje MŚP
MŚP mogą mieć obowiązki związane z cyberbezpieczeństwem, ponieważ:
- bezpośrednio spełniają warunki określone w NIS2 (zgodnie z zasadami określonymi w NIS2 są podmiotem ważnym albo kluczowym)
- zostały zakwalifikowane jako podmiot ważny albo kluczowy przez Ministerstwo Cyfryzacji (spełniają szczególne kryteria)
- są dostawcą lub klientem firmy objętej NIS2, która ich kontroluje i nakłada określone oczekiwania w związku z bezpieczeństwem łańcucha dostaw.
NIS2 obowiązuje MŚP bezpośrednio
Dyrektywa NIS2 obowiązuje mikro, małe i średnie firmy, które spełniają jeden z trzech warunków:
- świadczą na terenie UE usługi w sektorze objętym dyrektywą NIS2 i zostały sklasyfikowane przez Ministerstwo Cyfryzacji jako podmioty kluczowe
- świadczą na terenie UE usługi w sektorze objętym dyrektywą NIS2 i zostały sklasyfikowane jako podmioty ważne
spełniają jedną z przesłanek:
- są dostawcą usługi, która ma w Polsce kluczowe znaczenie dla utrzymania krytycznej działalności społecznej lub gospodarczej
- zakłócenie usługi, którą świadczą, mogłoby mieć znaczący wpływ na porządek publiczny, bezpieczeństwo publiczne lub zdrowie publiczne
- zakłócenie usługi, którą świadczą, mogłoby prowadzić do powstania poważnego ryzyka systemowego, w szczególności w sektorach, w których takie zakłócenie mogłoby mieć wpływ transgraniczny
- mają charakter krytyczny ze względu na ich szczególne znaczenie na poziomie krajowym lub regionalnym dla konkretnego sektora lub rodzaju usługi, lub dla innych współzależnych sektorów w kraju.
Przedsiębiorcy mający charakter krytyczny to przedsiębiorcy, którzy zapewniają systemy w ramach infrastruktury krytycznej, na przykład zaopatrzenia w energię, surowce energetyczne i paliwa, łączności, sieci teleinformatycznych, finansowe, zaopatrzenia w żywność.
Infrastruktura krytyczna obejmuje systemy:
- zaopatrzenia w energię, surowce energetyczne i paliwa
- łączności
- sieci teleinformatycznych
- finansowe
- zaopatrzenia w żywność
- zaopatrzenia w wodę
- ochrony zdrowia
- zapewniające ciągłość działania administracji publicznej,
- produkcji, składowania, przechowywania i stosowania substancji chemicznych i promieniotwórczych, w tym rurociągi substancji niebezpiecznych.
NIS2 obowiązuje MŚP na mocy decyzji ministra
Ministerstwo Cyfryzacji może zdecydować, że określone małe przedsiębiorstwa i mikroprzedsiębiorstwa będą objęte obowiązkami wynikającymi z NIS2 i zostaną zakwalifikowane jako podmiot kluczowy albo podmiot ważny, jeżeli spełnią szczególne kryteria.
Taka kwalifikacja może wynikać z oceny roli firmy dla społeczeństwa, gospodarki, konkretnych sektorów lub rodzajów usług.
NIS2 dotyczy MŚP w związku z udziałem w łańcuchu dostaw
Podmioty kluczowe i podmioty ważne, aby zwiększyć swoją odporność na cyberzagrożenia, mają obowiązek wprowadzić odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w celu zarządzania ryzykiem dla bezpieczeństwa sieci i systemów informatycznych.
Środki te obejmują bezpieczeństwo łańcucha dostaw - podmioty kluczowe i podmioty ważne mają obowiązek kontroli swych dostawców lub klientów biznesowych, nawet jeśli ci dostawcy lub klienci nie są objęci Dyrektywą NIS2.
W konsekwencji, jeśli firmy z łańcucha dostaw będą chciały utrzymać współpracę z podmiotem ważnym lub kluczowym, muszą wdrożyć adekwatne środki bezpieczeństwa.
Mikro i mali przedsiębiorcy, współpracujący z przedsiębiorcami z sektorów objętych dyrektywą NIS2, jako poddostawcy, kontrahenci, klienci biznesowi, będą musieli spełniać wymagania z zakresu cyberbezpieczeństwa wynikające z dyrektywy NIS2.
Łańcuch dostaw to sieć organizacji, ludzi, działań, informacji i zasobów, które współpracują ze sobą, aby dostarczyć produkt lub usługę z początkowego etapu do rąk konsumenta końcowego/końcowego odbiorcy biznesowego. W łańcuchu dostaw uczestniczą firmy, które dostarczają komponenty podmiotom kluczowym lub ważnym niezbędne w danym produkcie bądź usłudze.
Uwaga! Komisja Europejska planuje opublikować wytyczne dotyczące wdrażania kryteriów mających zastosowanie do mikroprzedsiębiorstw i małych przedsiębiorstw.
Wytyczne pomogą ocenić, czy firmy mikro i małe są objęte NIS2.
Którzy przedsiębiorcy są zwolnieni z NIS2
Dyrektywy NIS2 nie stosuje się do:
- przedsiębiorców, którzy świadczą usługi wyłącznie na rzecz podmiotów administracji publicznej, które prowadzą działania w obszarach bezpieczeństwa narodowego, bezpieczeństwa publicznego, obronności lub egzekwowania prawa, w tym zapobiegania przestępstwom, prowadzenia postępowań w ich sprawie, wykrywania ich i ścigania
- przedsiębiorców, którzy zostaną zwolnieni z obowiązków ustanowienia środków zarządzania ryzykiem w cyberbezpieczeństwie lub zgłaszania incydentów w odniesieniu do prowadzonych przez siebie działań lub świadczonych usług.
- przedsiębiorców, którzy zostali zwolnieni ze stosowania rozporządzenia DORA, czyli Rozporządzenia w sprawie operacyjnej odporności cyfrowej dla sektora finansowego
Rejestr podmiotów ważnych i kluczowych
To na przedsiębiorcy spoczywa obowiązek samodzielnej analizy, czy jego wielkość oraz usługi świadczone w sektorze/sektorach objętych dyrektywą NIS2 sprawiają, że podlega dyrektywie NIS2. Jest to mechanizm samoidentyfikacji.
Jeżeli tak jest i zakwalifikujesz siebie jako podmiot ważny albo kluczowy, musisz się zarejestrować w rejestrze podmiotów kluczowych i ważnych prowadzonym przez właściwe organy krajowe.
Podmioty ważne oraz podmioty kluczowe mają obowiązek przekazać drogą elektroniczną wniosek o wpis do wykazu prowadzonego przez ministra cyfryzacji w terminie określonym przez tego ministra.
Obowiązki firm objętych Dyrektywą NIS2
Zgodnie z NIS2 przedsiębiorcy kluczowi i ważni muszą:
- wdrożyć odpowiednie i proporcjonalne środki techniczne, operacyjne i organizacyjne w firmie
- zgłaszać incydenty cyberbezpieczeństwa.
Wdrożenie odpowiednich środków w firmie
Dyrektywa NIS2 nie określa, jakie konkretnie środki zarządzania ryzykiem w cyberbezpieczeństwie powinien wdrożyć przedsiębiorca.
Wskazuje jednak, że te środki mają być:
- proporcjonalne
- uwzględniające stopień narażenia podmiotu na ryzyko
- uwzględniające wielkość podmiotu
- uwzględniające prawdopodobieństwo wystąpienia incydentów oraz ich dotkliwość, w tym skutki społeczne i gospodarcze.
To oznacza, że firmy same muszą zdefiniować właściwe środki zgodnie ze swoją specyfiką i wdrożyć je bez zbędnej zwłoki. Takie podejście pozwala przedsiębiorcom zachować elastyczność.
Jednocześnie firmy objęte NIS2 powinny co najmniej zapewnić:
- politykę analizy ryzyka i bezpieczeństwa systemów informatycznych
- obsługę incydentu
- ciągłość działania, na przykład zarządzania kopiami zapasowymi i przywracania normalnego działania po wystąpieniu sytuacji nadzwyczajnej, i zarządzania kryzysowego
- bezpieczeństwo łańcucha dostaw, w tym aspektów związanych z bezpieczeństwem dotyczącym stosunków między każdym podmiotem a jego bezpośrednimi dostawcami lub usługodawcami
- bezpieczeństwo w procesie nabywania, rozwoju i utrzymania sieci i systemów informatycznych, w tym postępowania w przypadku podatności i ich ujawniania
- polityki i procedury służące ocenie skuteczności środków zarządzania ryzykiem w cyberbezpieczeństwie
- podstawowe praktyki cyberhigieny i szkolenia w zakresie cyberbezpieczeństwa
- polityki i procedury stosowania kryptografii i, w stosownych przypadkach, szyfrowania
- bezpieczeństwo zasobów ludzkich, polityki kontroli dostępu i zarządzania aktywami
- w stosownych przypadkach – stosowanie uwierzytelniania wieloskładnikowego lub ciągłego, zabezpieczonych połączeń głosowych, tekstowych i wideo oraz zabezpieczonych systemów łączności wewnątrz podmiotu w sytuacjach nadzwyczajnych.
Ważne! Przedsiębiorca ma obowiązek zgłaszać osoby lub organy zarządzające w firmie, które zatwierdzają środki zarządzania ryzykiem w cyberbezpieczeństwie, nadzorują ich wdrażanie i ponoszą odpowiedzialność za ewentualne naruszenia dyrektywy NIS2.
Te osoby lub organy powinny odbywać regularne szkolenia, które pozwolą im zdobyć wiedzę wystarczającą do prawidłowego rozpoznania i oceny praktyki zarządzania ryzykiem w cyberbezpieczeństwie oraz ich wpływu na usługi świadczone przez firmę.
Osoby lub organy zarządzające w firmie powinny oferować podobne szkolenia pracownikom (ale nie mają takiego obowiązku).
Zgłaszanie incydentów cyberbezpieczeństwa
Przedsiębiorca ma obowiązek:
- zgłosić bez zbędnej zwłoki właściwemu Zespołowi Reagowania na Incydenty Bezpieczeństwa Komputerowego - CSIRT lub innemu organowi właściwemu (który zostanie określony w ustawie wdrażającej dyrektywę NIS2) incydent mający istotny wpływ na świadczenie przez nie usług (poważny incydent)
- zgłosić informacje umożliwiające ustalenie transgranicznego wpływu incydentu
- powiadomić odbiorców usług o poważnych incydentach, które mogą mieć niekorzystny wpływ na świadczenie usług, z których korzystają
- poinformować odbiorców usług, których potencjalnie dotyczy poważne cyberzagrożenie, o środkach zaradczych i innych środkach, które ci odbiorcy mogą zastosować w reakcji na to zagrożenie; w stosownych wypadkach również należy ich poinformować o samym poważnym cyberzagrożeniu.
Incydent uznaje się za poważny, jeżeli:
- spowodował lub może spowodować dotkliwe zakłócenia operacyjne usług lub straty finansowe dla danego podmiotu
- wpłynął lub jest w stanie wpłynąć na inne osoby fizyczne lub prawne, powodując znaczne szkody majątkowe i niemajątkowe.
Przedsiębiorca informuje o poważnym incydencie:
- bezzwłocznie (maksymalnie w ciągu 24 godzin) – wczesne ostrzeżenie ze wskazaniem, czy poważny incydent został przypuszczalnie wywołany działaniem bezprawnym lub działaniem w złym zamiarze lub czy mógł wywrzeć wpływ transgraniczny
- bezzwłocznie (maksymalnie 72 godziny) – zgłoszenie incydentu z ewentualną aktualizacją informacji przekazanych w ramach wczesnego ostrzeżenia i wstępną oceną poważnego incydentu, w tym jego dotkliwości i skutków, a w stosownych przypadkach także wskaźników integralności systemu.
Uwaga! Dostawca usług zaufania zgłasza poważne incydenty CSIRT lub w stosownych przypadkach właściwemu organowi, bez zbędnej zwłoki, maksymalnie w ciągu 24 godzin od pozyskania informacji o takim poważnym incydencie.
Na wniosek CSIRT lub jeżeli ma to zastosowanie, właściwego organu – podmiot składa:
- sprawozdanie okresowe na temat aktualizacji statusu zgłoszonego incydentu.
- sprawozdanie końcowe - nie później niż miesiąc po zgłoszeniu incydentu (dokonanego w ciągu 72 godzin).
Sprawozdanie końcowe zawiera:
- szczegółowy opis incydentu, w tym jego dotkliwości i skutków
- rodzaj zagrożenia lub pierwotną przyczynę incydentu
- zastosowane i wdrażane środki ograniczające ryzyko
- w stosownych przypadkach transgraniczne skutki incydentu.
Jeżeli incydent nie zakończył się w terminie składania sprawozdania końcowego, podmioty przedstawiają w tym momencie sprawozdanie z postępu prac, a sprawozdanie końcowe – w ciągu miesiąca od zakończenia przez nich obsługi incydentu.
Jeżeli poważny incydent dotyczy co najmniej dwóch państw członkowskich UE, CSIRT, właściwy organ lub pojedynczy punkt kontaktowy bez zbędnej zwłoki informują o tym poważnym incydencie pozostałe państwa członkowskie, których on dotyczy, a także ENISA.
Po otrzymaniu wczesnego ostrzeżenia CSIRT lub właściwy organ odpowiada podmiotowi zgłaszającemu, w tym:
- przekazuje mu wstępne informacje zwrotne na temat poważnego incydentu
- przekazuje mu wytyczne lub porady operacyjne dotyczące możliwych środków ograniczających ryzyko (na wniosek podmiotu)
- zapewnia dodatkowe wsparcie techniczne (na wniosek podmiotu).
Jeśli poważny incydent miał cechy przestępstwa, CSIRT lub właściwy organ informują również organy ścigania.
Na wniosek CSIRT lub właściwego organu pojedynczy punkt kontaktowy przekazuje zgłoszenia incydentów transgranicznych lub międzysektorowych pojedynczym punktom kontaktowym w innych państwach członkowskich, których dotyczy incydent.
Niektóre kategorie podmiotów (między innymi dostawcy usług DNS, rejestrów nazw TLD, usług chmurowych) zostaną objęte aktami wykonawczymi doprecyzowującymi incydenty poważne w ich zakresie.
Dobrowolne zgłaszanie incydentów lub cyberzagrożeń
Zgłoszenia do CSIRT lub właściwych organów mogą dobrowolnie przekazywać:
- podmioty kluczowe i ważne w przypadku incydentów, cyberzagrożeń i potencjalnych zdarzeń dla cyberbezpieczeństwa
- inne podmioty, niezależnie od tego, czy są objęte NIS2, w odniesieniu do poważnych incydentów, cyberzagrożeń oraz potencjalnych zdarzeń dla cyberbezpieczeństwa.
Dobrowolne zgłoszenia są rozpatrywane w taki sam sposób jak obowiązkowe zgłoszenia incydentów poważnych, przy czym zgłoszenia obowiązkowe mogą być traktowane priorytetowo.
W razie potrzeby zgłoszenia są przekazywane do pojedynczych punktów kontaktowych, z zachowaniem poufności i ochrony informacji przekazanych przez zgłaszającego.
Zgłoszenie nie nakłada dodatkowych obowiązków na zgłaszającego.